摘要：本文剖析了福建煤电公司当前煤炭销售计算管理系统存在的数据安全问题，提出了在新建的煤炭销售计算管理系统中实现数据安全的措施。

关键字：地磅计量；煤炭销售；数据安全

1.前言

福建煤电股份有限公司是一家经营煤炭产销的国有大型企业，年产销煤炭一百多万吨，装配了煤炭销售地磅6台。为了加强煤炭销售管控，该公司2007年与厦门大学合作，建立了煤炭销售计算管理系统，实现了地磅统一管控，提供数据集中存储、查询分析功能，使各级销售管理人员及时了解煤炭销售情况，掌握煤炭市场动态，以便及时调整销售策略，获取更好的销售效果。该系统采取的实时数据上传、修改全程记录和过磅瞬间拍照等数据防护办法，从技术上加强了过磅计量行为的监管，一定程度上抑制了销售领域中计量环节的漏洞。

2.存在问题 

随着信息技术的进步和该公司信息化建设的发展，该系统已不再具有先进性，且暴露出诸多数据安全问题，比较突出的有以下二个：

2.1过磅拍照功能故障

该系统在地磅两头分别安装了摄像头，在煤车过磅瞬间，对煤车前后进行拍照，用于佐证数据安全。相关人员通过分析照片，我们可以识别空重车辆是否一致、磅上是否有异物、车辆是否到位、驾驶员是否下车等信息，防范偷煤套利行为。该系统采用天敏SDK2000采集卡配模拟摄像机采集图像照片，目前，由于这两种设备都属淘汰产品，厂家停产，故障后无材料修复，导致系统这项关乎数据安全的关键功能缺失。

2.2存在数据安全漏洞

该系统不允许司磅人员修改数据，允许管理员修改24小时内的数据，并记录修改痕迹，以备查验，超过24小时的数据，由地磅所在单位向该公司市场部申请修改。表面上，数据很是安全，但是，该系统的计量客户端使用在本地安装MS-SQL数据库管理系统存放本地数据，没有对数据采取任何加密措施，SQL的登录密码也不便经常变换，稍微懂SQL的人员便可绕过计量客户端，利用SQL的查询分析器等工具轻易查到各级管理员的帐号和密码，随意修改包括煤炭重量、销售金额等重要数据在内的所有信息，再使用计量客户端重新制作过磅单、上传数据。这个数据安全漏洞一旦被不法分子利用，将给该公司带来重大损失！

3.新系统的设计思路 

现用的煤炭销售计算管理系统已使用10年，开发商已不再对其提供服务了，存在的故障修复、功能调整和数据安全漏洞等问题都无法解决。为了解决这些问题，加强煤炭销售领域的监管，该公司双管齐下，一方面建立视频监控系统，对煤炭装运的关键部位进行监控，并实现监控视频全公司联网，安排相关人员抽查视频，形成多方监管态势，防范煤炭销售装煤环节违规现象的发生；另一方面研制新的销售计算管理系统，加强数据安全和用户权限管控，防范数据被非法篡改。

图1 新的销售计算管理系统拓扑结构

新的销售计算管理系统拓扑结构如图1所示，其中软件部分包括中央数据库、查询决策支持、计量客户端和数据传输服务等四个模块组成。本文不论述各模块功能和实现办法，仅从安全角度，谈谈设计思路。

3.1加强过磅瞬间拍照功能

新系统的计量客户端采用新型高清数字网络摄像机作为拍照设备，在过磅瞬间拍三张照片，分别是磅前后两张照片和司磅岗位照片。磅前后两张照片的作用前面已经讲过，司磅岗位照片作用有2个：1是可以识别操作者身份，防止其他人冒用司磅员身份进行操作；2是防止监控监磅员是否脱岗。这些摄像机同时被视频监控系统收入，提供给相关人员实时察看和回放历史录像。

3.2过磅记录数据安全

前面讲到，老系统存在绕过计量管理系统篡改数据的风险，那么新系统如何保障过磅记录数据安全，消除这个风险呢？新系统引入了MD5值加密算法，对过磅数据分段加密，具体做法是：增设了3个存放MD5值的字段，分别存储进过磅、出过磅和完整提交三个节点的相关字段的MD5值。

进过磅的MD5值计算样式：md5(InTime & InWeight & sysPassword), 其中sysPassword 是系统内置密码(下同);

出过磅的MD5值的计算样式: md5(OutTime & OutWeight & sysPassword);

这2个MD5值都是在过磅的瞬间生成，防止有人在过磅后提交前这个时间段绕过计量客户端篡改重量数据；

完整提交的MD5值的计算样式：md5(InTime & InWeight & OutTime & OutWeight &  CustomerName & UserName & Company & Loadometer & ……& sysPassword) ,在完整提交一条计量记录时生成，防止有人在提交后绕过计量客户端篡改记录数据。

在B/S查询决策支持系统中，用户查询明细销售数据时，系统将对每条记录的这3个MD5值进行验证，对于无法通过验证的数据进行亮色突出显示，提醒有关人员核查。

3.3数据传输安全

老的销售计算管理系统采用数据直接传输模式，即计量客户端通过预置中心数据库统一的登录信息连接数据库上传数据。由于中央SQL数据库修改登录密码后，需要将所有计量客户端配置信息变更，容易影响煤炭销售，所以中央数据库的登录密码多年没有变更，已成为众所周知的秘密，给中央数据库带来数据安全重要隐患。

如何解决这个问题呢？该公司想了二个办法1：在中央数据库中增设多个登录帐号密码，实行一点一号，且定时变更密码。办法2：采用FTP传输数据。具体做法是：上传时，客户端将数据传输到第三方FTP服务器，中央数据库从该FTP服务器下载数据存入库中；下发时，中央数据库将下发给客户端的数据（如用户信息、权限设置指令等）传输到FTP服务器，客户端从该FTP服务器下载指令并执行。办法1简单直接，行之有效，缺点是实施起来工作量较大，有点麻烦，安全性能提升不大；办法2优点是客户端和中央服务器“不见面”，避免中央服务器暴露，有效规避了中央服务器被攻击风险；缺点是需要增加FTP服务器，虽会采用加密传输，但也存在数据被截留、篡改和伪造的风险。该公司综合考虑到图片文件需要使用FTP传输，认为还是使用办法2传输数据较好。这样做还有一个好处是安装在过磅计算机无需配置SQL登录信息，配置设置难度降低了。

3.4强化权限管理

权限管理是销售计算管理系统的关键，由功能集成在计量客户端中，由系统管理员根据实际需要进行设置，通过数据传输服务程序同步到各单位磅点的计量客户端上。

该公司拟将数据修改权限收回公司市场部统管，具体做法是，对于未提交的过磅数据，操作员有权修改（重量数据除外）；对于已提交的，由单位向公司市场部申请修改，公司市场部核实后，通过计量客户端修改数据，系统将修改结果自动同步到目标磅点，完成修改动作。

4.结语

福建煤电股份有限公司采用煤炭统一销售管理已整10年，实现全公司销售一盘棋，取得了较好的销售效果，同时也为新的煤炭销售计量管理系统的开发积累了一定的经验。目前，该公司已经开始了新的煤炭销售计算管理系统的研制工作，不久的将来，新的煤炭销售计算管理系统将投入运行，我们拭目以待。

（福建煤电股份有限公司   俞新芳）